Les députés européens ont voté le 10 novembre 2022 la Directive NIS 2 (Network and Information Security, version 2) qui vise à harmoniser et à renforcer la cybersécurité du marché européen. La Directive NIS 2, qui s’appuie sur les acquis de la directive NIS 1, marque un changement de paradigme, tant à l’échelon national qu’à l’échelon européen. Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, la directive NIS 2 élargit en effet ses objectifs et son périmètre d’application pour apporter davantage de protection. Cette extension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation cyber. Elle amène aussi les Etats membres à renforcer leur coopération en matière de gestion de crise cyber, en donnant notamment un cadre formel au réseau CyCLONe (Cyber Crisis Liaison Organisation Network) qui rassemble l’ANSSI et ses homologues européens (source Cyber.Gouv).
A quelle date sera-elle en application ?
Adoptée le 10 novembre 2022 par le Parlement Européen et publiée au Journal Officiel de l’Union Européenne le 27 décembre 2022, les États membres disposent de 21 mois pour établir la transposition de la réglementation au sein de leur droit national avec une date butoir au 17 octobre 2024.
A qui s'adresse la Directive NIS 2 ?
La Directive NIS 2, adoptée en janvier 2023, obligera des milliers d’entreprises à renforcer leurs normes en matière de sécurité. Ambitieuse et visionnaire, NIS 2 vise à atteindre une maturité cyber commune dans l’ensemble de l’Union européenne. Les 27 États membres devront intégrer ses dispositions dans leur droit national avant septembre 2024.
Concrètement, la Directive NIS 2 continuera de s’appliquer aux secteurs déjà concernés par NIS1 (établissements de santé, banques, transports), et s’étendra à de nouveaux secteurs d’activité : administrations publiques, télécommunications, plateformes de réseaux sociaux, services postaux, secteur spatial, entre autres.
L’autre changement majeur est sans aucun doute son extension aux entreprises, donc au monde du privé. Plusieurs milliers d’entreprises de toutes tailles, des PME aux groupes du CAC40, seront amenées à se conformer aux règles de cette nouvelle directive.
La Directive NIS 2 s’adresse aux entreprises de plus de 50 salariés réalisant plus d’un million d’euros de chiffre d’affaires dans les secteurs concernés. Ces entreprises peuvent être des PME, grandes entreprises ou dans certains cas des collectivités territoriales.
Quels sont les secteurs concernés ?
Initialement, la Directive NIS 1 encadrait 19 secteurs. Avec cette nouvelle version, ce sont 35 secteurs qui sont concernés.
Les 19 secteurs de NIS 1 sont : Les secteurs de la santé, de l’énergie, des transports, le secteur bancaire, les infrastructures des marchés financiers, le secteur de l’eau potable, des eaux usées, les infrastructures numériques, les fournisseurs de services numériques, les administrations publiques, le secteur aérospatial.
À cela, NIS 2 complète par les secteurs suivants : Le secteur des services postaux et d’expédition, le secteur de la gestion des déchets, le secteur de la fabrication, de la production et distribution de produits chimiques, le secteur de l’industrie, le secteur agroalimentaire, les fournisseurs de services numériques.
Obligations pour les entités concernées
NIS 2 prévoit de nouvelles obligations pour les entités concernées sur le traitement des incidents, la gestion des risques, la sécurité de la chaîne d’approvisionnement, le chiffrement et la divulgation des vulnérabilités.
1. Signalement des incidents de sécurité : la NIS 2 prévoit une approche en deux étapes. Les entreprises concernées disposeront de 24 heures à compter de la survenance de l’incident pour soumettre un premier signalement à l’ANSSI via un rapport préliminaire. Celui-ci devra être complété par un rapport final sous un délai maximum d’un mois.
2. Gestion des risques cyber : les entités devront porter une attention particulière à la formation de leurs décideurs à la gestion des risques. NIS 2 souligne également l’obligation du corps managérial de contribuer au processus de validation des mesures de gestion des risques cyber.
3. Tests et audits de sécurité : NIS 2 imposera aux entités de mener régulièrement des tests et des audits techniques, dont des tests d’intrusions et scans de vulnérabilités pour évaluer l'efficacité des mesures de sécurité déployées.
4. Sécurité de la supply chain : les entreprises seront amenées à effectuer des travaux de due diligence sur la chaîne d’approvisionnement, notamment via l’étude des pratiques de cybersécurité en vigueur avec leurs fournisseurs et prestataires de services.
Obligations d'inclure les sous-traitants
En réponse aux phénomènes de supply chain attack ou attaques ciblant la chaîne de sous-traitance, cette typologie d’acteurs est maintenant intégrée dans les secteurs concernés par NIS 2. En effet les sous-traitants peuvent avoir accès à des données sensibles ou à des systèmes critiques, et si elles ne sont pas suffisamment protégées contre les cybermenaces, elles peuvent devenir une cible pour les cybercriminels. En incluant les entreprises sous-traitantes dans les exigences de cybersécurité, les entreprises qui les emploient peuvent être sûres que leur sous-traitant a mis en place les mesures de sécurité appropriées pour protéger les données et les systèmes dont il a la responsabilité.
Quels sont les risques en cas de non-conformité ?
Les sanctions s’étendront de l’obligation de réalisation d’audits de sécurité et mise en conformité jusqu’aux amendes administratives. Le mécanisme prévu pourra, selon les infractions, se fonder sur un pourcentage du chiffre d’affaires mondial de l’entité concernée : jusqu’à 10 millions d’euros d’amende, ou 2 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu.
Quelle est l’articulation entre NIS 2 et le Cyber Resilience Act (CRA) ?
Le CRA est un projet de règlement européen ayant pour objectif de définir des règles de cybersécurité minimum pour les produits composé d’un ou plusieurs éléments numériques vendus sur le marché de l’UE. Il est donc complémentaire à la Directive NIS 2 qui traite d’opérateurs de services. De manière simplifiée, le CRA visera à sécuriser les produits numériques utilisés dans l’UE par les entreprises et le grand public alors que NIS 2 a pour objectif de sécuriser les moyens de production des entreprises et administrations de l’UE.
La mission XP3R
Nous exerçons nos missions d'audit, conseil, stratégie et formation en data intelligence & cybersécurité dans le strict respect de la confidentialité et du secret des affaires (Directive 2016/943).
Plus d'infos :